Herausforderung: Zeitnahe Absicherung der Software-Lieferkette gegen Open-Source-Schwachstellen
Die Shopping-Plattform der ShopBack Group vereint attraktive Prämien mit einfacher Bezahlung und macht sie zu einem der führenden Anbieter von Cashback-Services im asiatisch-pazifischen Raum. Mit mehr als 38 Millionen Nutzern generiert die Plattform bei den rund 15.000 Online- und stationären Handelspartnern des Unternehmens Umsätze in Höhe von über 3,7 Milliarden US-Dollar pro Jahr.
Seit 2022 stehen Kunden mit ShopBack Pay und PayLater zudem auch Optionen zur direkten und Ratenzahlung zur Verfügung. Umgesetzt werden entsprechende Erweiterungen von einem rund 300-köpfiges Entwicklerteam. Von den Standorten Singapur, Vietnam und Taiwan aus sorgt es ebenso dafür, dass die Plattform im Zuge der Unternehmensexpansion konstant stabil bleibt.
Zunehmend Sorge bereiteten dem Team dabei kritische Open-Source-Schwachstellen – dies umso mehr mit dem Bekanntwerden von Log4j. Denn zur Analyse und Behebung von derartigen Anfälligkeiten in seiner Software fehlte es dem Team schlicht an den richtigen Ansatzpunkten.
„In der Software-Community waren alle in Aufruhr um die neue Schwachstelle und wollten sie schnellstmöglich beheben“, erinnert sich Engineering Manager Dipin Thomas. „Wir taten uns aber schon schwer damit, klar nachzuvollziehen, an welchen Punkten wir überhaupt von ihr betroffen waren. Ganz zu schweigen davon, dass wir effiziente Wege für ihre Behebung gehabt hätten.“
Lösung: Snyk Open Source
Für das Toolset von Snyk zur Erkennung und Behebung von Open-Source-Schwachstellen entschied sich das Team, nachdem es auf den Status von Snyk als Premier-Partner von AWS aufmerksam geworden war. So verfügte die Lösung gegenüber mehreren Alternativen im Test mit ähnlichen Codebases über die stärksten Features. Überzeugend waren dabei neben Pipeline-Integrationen etwa auch die Features, die Snyk Open Source innerhalb der CLI bietet.
„Ganz entscheidend war für uns die Unterstützung für GitLab in Privatnetzwerken. Zudem liefert die Lösung deutlich schneller Ergebnisse und ist nahtlos mit der CI-Pipeline von GitLab integrierbar“, erläutert Thomas die Entscheidung. „So erhalten wir mit Snyk etwa direkt in der CLI Filter, anhand derer sich Schwachstellen gezielt nach Schweregrad, Typ oder dem Punkt isolieren lassen, an dem sie sich im Code befinden. Den meisten anderen Tools fehlt es an solchen Features. Sie geben einfach nur den kompletten Report aus. Zum Filtern der Ergebnisse müssen wir dann eine eigene Engine schreiben, was das Ganze deutlich komplizierter macht.“
Strategisch wichtig ist für das Team zudem die Security Intelligence, auf die es bei Snyk zurückgreifen kann. Denn damit bleibt es über aktuelle CVEs ebenso auf dem Laufenden wie über Schwachstellen, die von seinen externen Anbietern veröffentlicht werden, sowie anderen wichtigen Security-Entwicklungen.
„Im Open-Source-Kontext ist es unmöglich vorhersehbar, wann die nächste Schwachstellen öffentlich wird“, kommentiert Tao-Sheng Chen, VP Engineering bei ShopBack. „So schnell, wie sich die Landschaft verändert, kann sich eine Anwendung quasi von heute auf morgen als angreifbar erweisen. Dass wir hier dank Snyk nun stets den Finger am Puls haben, ist daher umso wichtiger. Ideal ist auch, dass unsere Entwickler sämtliche externen Software-Komponenten in ihrem Code verlässlich identifizieren und kritische Schwachstellen so direkt ausmachen können.“
Smart von der Erkennung bis zur Behebung von Schwachstellen
Ganz besonders zupass kommt es den Entwicklerteams dabei, dass sie mit Snyk Open Source nicht erst mühsam Recherchen zur Behebung jeder erkannten Schwachstelle anstellen müssen. Stattdessen erledigen sie dies nun in Sekundenschnelle mit einem Klick und dank nahtloser Integration mit Node.js und Dockerfiles direkt in ihrem gewohnten Dev-Ökosystem.
Thomas stellt hierzu fest: „Und auch langwierige Such-Arien nach Korrekturen sind dabei passé. Mit dem Auto-Fixing-Feature spielen sie die passenden Patches oder Upgrades einfach mit einem Klick ein.“
Ergebnis: Deutlich verbesserter Security-Status nach weniger als 60 Tagen
Bereits kurze Zeit nach Implementierung von Snyk stellten sich bei ShopBack signifikante Verbesserungen ein. So verzeichnete das Team dank umfassender Visibility in den Security-Status seiner Software-Lieferkette nach gerade einmal 30 Tagen eine Reduzierung von Schwachstellen mit hohem und kritischem Schweregrad um 16 %. Ein Faktor war dabei nicht zuletzt auch die hervorragende Developer Adoption für Snyk Open Source, die innerhalb von nur 2 Monaten um ganze 247 % in die Höhe schnellte.
Vor diesem Hintergrund plant das Team nun auch, seine Security-Infrastruktur nach ISO-Standards zertifizieren zu lassen – und fasst hierzu etwa auch die Evaluierung weiterer Lösungen von Snyk ins Auge.
„Die Plattform fügt sich einfach bestens in unserer bestehendes Ökosystem ein. Genau deshalb hat sie sich auch so schnell für uns bezahlt gemacht“, resümiert Chen. „Noch spannender ist daher, in welchen Ergebnissen sich eine noch ausgedehntere Nutzung der Tools niederschlagen wird.“